چند روزی هست که یه مشکل امنیتی در کتابخانه بسیار محبوب Log4j پیدا شده. کتابخونه Log4j که یکی از صدها محصول بنیاد Apache هست، به برنامه نویسان جاوا اجازه میده که گزارش هاشون رو به صورت مجتمع، بدون نیاز به کدنویسی مجزا و با یه قالب واحد داشته باشن. این مشکل امنیتی که اجازه Remote Code Execution رو به حمله کننده میتونه بده دارای بالاترین حد خطر یعنی 10 از 10 هست.
تقریباً هر نرم افزار جاوایی که یه سرویسی رو توی شبکه ارائه میده از این کتابخونه استفاده می کنه تا بتونه برای مدیران شبکه و مدیران سیستم لاگ بگیره. بنابراین اگه از یه سرویس بر اساس جاوا استفاده میکنید، حتماً مستندات تولید کننده نرم افزارتون رو مطالعه کنید تا ببینید تولید کننده چه پیشنهادی داده و در اولین فرصت Patch یا Update ارائه شده برای رفع مشکل رو دریافت و نصب کنید.
تمام شرکت های بزرگ نرم افزاری دنیا از جمله VMware و Adobe و ManageEngine و … با مسئله درگیر هستن و دارن روی راه حلی برای نرم افزارهاشون کار میکنن و مستمراً دارن مانیتور میکنن تا ببینن آیا مشکلی برای کاربرانشون ایجاد شده یا خیر.
غول اینترنتی Cloudflare هم با تمام توانش جلوی حملات ایستاده و سعی میکنه که کابرانش رو در برابر این حفره محافظت کنه.
راه حل خود Apache این هست که به نسخه 2.16 (یا 2.12.2 برای جاوا 7) آپگرید کنید، اما با توجه به اینکه آسیب پدیری مربوط به یه کتابخونه هست که به عنوان بخشی از یه نرم افزار دیگه براتون نصب شده باید صبر کنید تا تولید کننده نرم افزار اون رو براتون آپگرید کنه. اگه از نرم افزاری استفاده می کنید که به دلایلی دیگه آپدیت نمیشه کل کلاس آسیب پذیر رو حذف کنید:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
به طور خاص مثلاً VMware vCenter آسیب پذیر هست و VMware داره روی یه Patch برای رفع مشکل کار میکنه و در حال حاضرش پیشنهادش رو توی این صفحه آورده.
چون حفره مربوط به JNDI یا همون Java Naming and Directory Interface هست، پیشنهاد فعلی Adobe برای محصول Connect این هست که فعلاً LDAP Lookup رو غیرفعال کنید.
شرکت های بزرگ دیگه ای مثل HPE و Dell و … هم دارن محصولاتشون رو بررسی میکنن و همگی صفحاتی از وب سایتشون رو اختصاص دادن که پیشرفت کارِ بررسی رو به کاربرانشون اطلاع میده.
ما هم به نوبه خودمون محصولات مختلف رو رصد میکنیم و به محض ارائه شدن وصله امنیتی اون رو در اختیار همراهان و همکاران عزیز خواهیم گذاشت.
در این بازه زمانی که تولید کننده ها وصله های امنیتی شون رو آماده می کنن، حتی المقدور با محدود کردن دسترسی سرویس های آسیب پذیر و ایجاد امکان اتصال صرفاً برای موارد ضروری؛ Attack Surface مربوط به این سرویس ها رو به حداقل برسونید.
ازتون سپاسگزار میشیم اگر در بخش نظرات سرویس های آسیب پذیر، راه حل ها و تجربیاتتون رو با سایر همکاران به اشتراک بذارید.
پی نوشت 1: شرکت Adobe برای نرم افزار Adobe Connect خودش یه Patch ارائه داده که برای نسخه های 10.1 به بعد قابل استفاده هست و از اینجا می تونید دریافتش کنید.
اگه احیاناً مایل هستید بیشتر راجع به این حفره های امنیتی مطالعه کنید، شماره CVE های مربوطه به قرار زیر هست:
CVE-2021-45046
CVE-2021-44228
بسیار عالی و ارزشمند
ممنونم محمد جان
عالی، ممنون
👍
سلام،
تشکر از وقت و اهمیتی که برای کاربران سایتتون می گذارید.
راه کار های شرکت VMware برای حل این مشکل در لینک زیر است.
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
این لینک شامل اسکریپتی برای خودکار سازی حل مشکل برای vCenter 7
https://kb.vmware.com/s/article/87088
دوستان لطفا رو فایروال هاتون از فعال بودن IPS و بروز بودن Pattern ها و فعال بودن signature های مربوط به این آسیب پذیری هم مطمئن بشین
سلام و درود
به شخصه مرجع اصلیم برای تمام آپدیتها و دانلود نرم افزارها سایت شماس
ممنون میشم بروز رسانی های محصولات درگیر رو قرار بدین
و مورد بعدی اینکه دیگه لایسنس برای کریو قرار نمیدین؟
دوست عزیز سلام
ممنونیم از نقطه نظر شما.
روشی برای جلوگیری از این مشکل در کریو کنترل بزودی ارایه خواهد شد.
بی نهایت ممنونم از لطف شما و همکاراتون
دوستانی که از مکافی در مجموعه بهره می گیرند از این KB بهره بگیرید :
https://www.mcafee.com/enterprise/en-us/products/enterprise-security-manager/resources.html
https://kc.mcafee.com/corporate/index?page=content&id=KB95091
خیلی ممنونم از انتقال تجربیات خوبتون
دوستانی که در مجموعه از سرویس های ManageEngine استفاده می کنند در اسرع وقت به نسخه آخر ارتقا بدهند. به عنوان مثال در Desktop Central نسخه 10.1.2127.20 استفاده از کتابخانه Log4s غیرفعال شده است :
Log4j is no longer used in Desktop Central.(Build 10.1.2127.20)
https://www.manageengine.com/products/desktop-central/hotfix-readme.html
تقریبا غالب محصولات این شرکت درگیر این موضوع هستن
درود و عرض ادب خدمت یوسف عزیز و تیم دیجی بوی ؛
بله متاسفانه … آسیب پذیری بحرانی که خیلی از شرکت ها را درگیر کرده است
ممنون مهندس
بنده قبلا آپدیت کردم یبار بعدش دیگه لود نمیشد سرویسش هرکاری کردم
مجبور شدم بک آپ ماشینمو برگردونم
دوستانی که در مجموعه از محصولات سایمانتک استفاده می کنند می تواند از اطلاعات این صفحه بهره بگیرند :
https://support.broadcom.com/security-advisory/content/security-advisories/Symantec-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/SYMSA19793
تشکر مهندس
فقط
Set the system environment variable “LOG4J_FORMAT_MSG_NO_LOOKUPS” to “true”.
این کجاس؟
اشاره بهش نکرده
درود،
از راهنمای زیر کمک بگیرید :
https://knowledge.broadcom.com/external/article/230359
تشکر
از طریق لینک زیر می توانید لیست تمامی محصولات آسیب پذیر و غیر آسیب پذیر در برابر این آسیب پذیری را مشاهده کنید :
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
در مورد رفع این آسیب پذیری بر روی محصول Adobe Connect می توانید از راهنمایی زیر بهره بگیرید :
https://blogs.connectusers.com/connectsupport/suppress-ldap-lookup-in-log4j-in-adobe-connect/
می شه خواهش کنم در مورد این راه حل یه توضیحی بدید
درود،
خیلی ساده است دوست عزیز. در مسیرهای عنوان شده می بایست تغییرات را اعمال کنید.
مراحل توضیح داده شده در مرجع اصلی اما ترجمه فارسی مرحله به مرحله در این آدرس قرار داده شده : https://blog.mashhadteam.com/1249 ، امیدوارم مفید باشه.
Please use the below procedure for ADAudit Plus
1. Stop the ManageEngine ADAuditPlus service and wait till it stops.
2. In case the ManageEngine ADAudit Plus DataEngine service does not stop automatically, stop it manually.
3. Move(cut and paste) the below jar files from ‘\apps\dataengine-xnode\lib’ to any backup location outside the product installation path.
log4j-api-2.10.0.jar
log4j-core-2.10.0.jar
log4j-iostreams-2.10.0.jar
log4j-slf4j-impl-2.10.0.jar
(or)
log4j-api-2.15.0.jar
log4j-core-2.15.0.jar
log4j-iostreams-2.15.0.jar
log4j-slf4j-impl-2.15.0.jar
4. Download jar files from the below link:
https://downloads.zohocorp.com/dnd/ADAudit_Plus/ypMFtZHIlQAm30G/log4j-2.16.0.zip
5. Copy the downloaded jar files to ‘\apps\dataengine-xnode\lib’.
6. Start the ManageEngine ADAuditPlus service.
——————————————————————————————————–
Please use the below procedure for ADManager Plus:
Stop ADManager Plus
Delete the following files after taking backup
From ADManager Plus\ES\lib folder
log4j-1.2-api-2.11.1.jar
log4j-api-2.11.1.jar
log4j-core-2.11.1.jar
From ADManager Plus\ES\plugins\search-guard-6
log4j-slf4j-impl-2.11.1.jar
Download the zip from the below link and extract the following files
https://downloads.zohocorp.com/ADManager_Plus/xJLJRv0OQDiTZwA/log4j-2.16.0.zip
Place following extracted files in ADManager Plus\ES\lib
log4j-1.2-api-2.16.0.jar
log4j-api-2.16.0.jar
log4j-core-2.16.0.jar
Place following extracted files in ADManager Plus\ES\plugins\search-guard-6
log4j-slf4j-impl-2.16.0.jar
Start the ADManager Plus
Note: The old mitigation measures are discredited and the new version of Log4j jar was released by apache.
۱۸ آذر ۱۴۰۰، یک آسیبپذیری با درجه اهمیت حیاتی (Critical) که از نوع RCE (اجرای کد از راه دور) میباشد در کتابخانه Log4j کشف شد.
ضعف امنیتی مذکور Log4Shell یا LogJam نامیده میشود و دارای شناسه CVE-2021-44228 میباشد.
از آنجایی که Log4j، کتابخانهای منبعباز (Open source) و بسیار پرکاربرد است، در بسیاری از برنامهها و نرمافزارهای سازمانی از جمله بسترهای ابری، برنامههای کاربردی تحت وب و سرویسهای پست الکترونیک استفاده میشود. بنابراین طیف گستردهای از نرمافزارها در سطح اینترنت وجود دارند که میتواند در معرض خطر سوءاستفاده از آسیبپذیری مذکور باشند.
از طرفی تقریباً هر یک از برنامههای تحت وب و اکثر سرورها به نوعی پروسه ورود به سیستم (Logging) را اجرا میکنند و همگی از کتابخانه محبوب Log4j که مبتنی بر زبان برنامهنویسی Java پیادهسازی شده استفاده میکنند لذا این آسیبپذیری طیف گستردهای از سرویسها و برنامههای کاربردی روی سرورها را تحت تأثیر قرار میدهد و آن را به شدت خطرناک میکند. از این رو اعمال آخرین بهروزرسانیها برای تمامی برنامههای کاربردی و سرورها بسیار ضروری است.
در همین حال محققان شرکت سوفوس (Sophos, Ltd)، هشدار دادهاند که صدها هزار تلاش برای اجرای کد از راه دور با استفاده از آسیبپذیری Log4Shell تنها در همین روزهای پس از افشای عمومی آن، شناسایی کردهاند. آنها اعلام نمودهاند که مهاجمان در حال حاضر تلاش میکنند تا اینترنت را برای نمونههای آسیبپذیر Log4j پویش کنند.
در حال حاضر نمونههای فعالی از مهاجمانی شناسایی شده که به دنبال سوءاستفاده از آسیبپذیری Log4j جهت نصب بدافزار استخراج رمز ارز هستند. گزارشهایی نیز از چندین باتنت، از جمله Tsunami ،Mirai و Kinsing وجود دارد که تلاش میکنند از ضعف امنیتی مذکور سوءاستفاده کنند.
شرکت سوفوس نیز تحقیقاتی را برای تعیین اینکه آیا راهکارهای امنیتی این شرکت تحت تأثیر آسیبپذیری مذکور قرار گرفتهاند انجام داده است. نتیجه تحقیقات نشان میدهد که امکان Log4j در فایروال های سوفوس بطور کلی استفاده نشده است و بنابراین، فایروال های سوفوس در مقابل این آسیب پذیری مصون هستند. توصیهنامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
با وجود اینکه خود فایروال های سوفوس در برابر این آسیب پذیری مصون هستند، SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیب پذیر باشند، تعدادی IPS Signature را در محصولات Sophos Endpoint ،Sophos Firewall و Sophos SG UTM پیادهسازی کرده که هر گونه ترافیک را که سعی در سوءاستفاده از آسیبپذیری مذکور دارد، شناسایی و مسدود میکند.
تیم Sophos Managed Threat Response – به اختصار MTR – شرکت سوفوس نیز، همواره به طور فعال حسابهای مشتریان MTR را برای فعالیتهای پسابهرهجویی زیر نظر دارد.
همچنین مشتریان Sophos XDR میتوانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیبپذیر Log4j در محیط سازمان خود استفاده کنند.
https://community.sophos.com/intercept-x-endpoint/i/compliance/identify-vulnerable-log4j-apache-components?cmp=136634
Query مذکور نشان میدهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانیهای زیر بهروزرسانی های لازم انجام شده و تمامی پروسههای ورود به سیستم (Log) به منظور هرگونه نشانهای از سوءاستفاده و آلودگی بررسی شود.
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html
سوفوس با توجه به شدت و ماهیت گسترده این آسیبپذیری، به مشتریان توصیه میکند استفاده از Log4j را در همه برنامهها، سیستمها و سرویسها در سراسر محیط خود بررسی کنند. در این راستا شرکت مذکور توصیه میکند که راهبران امنیتی ابتدا بر روی سرویسهای منتشر شده در اینترنت تمرکز کنند و دستورالعملهای به روزرسانی شرکتهای مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند.
سلام
برای دوستانی که از PaperCut MF استفاده میکنند
Stop the PaperCut application server (or Site Server).
Navigate to the /server/bin/win folder.
Open the service.conf file in that folder for editing (you will need to open it as Administrator).
Find the line that looks like this: wrapper.java.additional.21=-Dpc-reserved=X
Replace it with this: wrapper.java.additional.21=-Dlog4j2.formatMsgNoLookups=true
Save the file.
Start the PaperCut application server (or Site Server).
آدرس:
https://www.papercut.com/kb/Main/Log4Shell-CVE-2021-44228#application-server-and-site-server-fix
ماجراهای میکروتیک و مشتریا.
https://forum.mikrotik.com/viewtopic.php?t=181257
در آدرس زیر patch مربوط به ادوب کانکت و مستندات ارائه شده است.
https://blogs.connectusers.com/connectsupport/suppress-ldap-lookup-in-log4j-in-adobe-connect/
دوستان سلام
من از Horizon 7.13 استفاده میکنم . بر اساس اعلام شرکت VMWare باید به 7.13.1 ابدیت کنیم که این مشکل برطرف شده . دوستانی که امکانش رو دارن لطفا لینک دانلود این ورژن را قرار بدن تا بقیه هم استفاده کنند
تشکر
اینم لینک دانلود 7.13.1
استفاده کنید و لذت ببرید
https://mihanfile.net/1f97fecf509c5bd8